Проброс портов через VPN между двумя роутерами Keenetic и Mikrotik

[Sereja Smirnoff]

Добрый день. По поиску нашел несколько похожих тем, но не нашел в них ответов. Надеюсь мне сможет кто-нибудь помочь. Имеется Keenetik с белым IP адресом  и объединенный с ним по VPN туннелю Mirktoik c серым IP. Объединял по прекрасной статье https://mdex-nn.ru/page/l2tp-ipsec-tunnel-mikrotik-i-keenetik.html. Маршрутизация внутри сети работает во всех направлениях правильно. Цель: Нужно получить доступ к устройству во внутренней сети Mikrotik, использую белый адрес Keenetica. Обычный метод проброс порта на другое устройство из веб-интерфейса keenetic не работает.  

PS Возможно это вопрос не к кинетику, а к микротику, но решил задать это на обоих специализированных форумах, чтобы сопоставить ответы и найти решение). Заранее благодарен за уделенное время!  

[Le ecureuil]

172.16.30.1 - это интерфейс public? Адрес 192.168.35.5 доступен через проброс?

[Sereja Smirnoff]

172.16.30.1 - это белый IP адрес WAN

172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

Изменено 17 ноября, 2021 пользователем Sereja Smirnoff

[Sereja Smirnoff]

Проброс до 192.168.35.5 не работает. В Mikrotik стоит правило на доступ к морде извне: 

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept

[Le ecureuil]

А реально трафик до M доходит? В дампе что там?

[Sereja Smirnoff]

Внутри обоих сетей все ресурсы из одной и из другой подсети между собой доступны. Из клиентов подсети Keenetic проброс по публичному адресу открывает морду кинетика. Из мегафона например, уже нет. Где посмотреть дамп? Настройки zyxel? Публичный ip адрес Keenetic на самом деле 188.35.х.х (чтобы вас не смущали одинаковые подсети клиента vpn и белого адреса)

Изменено 17 ноября, 2021 пользователем Sereja Smirnoff

[r777ay]

1 час назад, Sereja Smirnoff сказал:

172.16.30.1 - это белый IP адрес WAN

172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно.

[Sereja Smirnoff]

Не совсем понял ответ. Проблема в adguard? 

[r777ay]

5 минут назад, Sereja Smirnoff сказал:

Не совсем понял ответ. Проблема в adguard? 

В пробросе портов, если сидите на FW 3.7

23 минуты назад, r777ay сказал:

PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно.

Попробовать создать 2а правила для TCP и UDP раздельно

Изменено 17 ноября, 2021 пользователем r777ay

[Sereja Smirnoff]

У меня 3.6.10

Adguard отключил - не помогло 

 

 

[vadimbn]

2 часа назад, Sereja Smirnoff сказал:

Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

Не понятно... Внутри сети keenetic, которая 192.168.36.0/24, при попытке открыть адрес 192.168.35.5 или 192.168.35.2 - любой из адресов, открывается интерфейс микротика???

[Sereja Smirnoff]

Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение. (172.16.30.2:5000 переадресовывает куда надо на 80 порт морды М)! Т.е. mikrotik по идее не блокирует ничего. 

[vadimbn]

10 минут назад, Sereja Smirnoff сказал:

Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение

Я спрашивал безотносительно правил проброса, в сети keenetic (192.168.36.0/24) видны все ресурсы из сети  192.168.36.0/24? Или когда в сети  192.168.36.0/24 вводите в браузере любой адрес сети 192.168.35.0/24, то попадаете только на web-интерфейс микротика?

[Sereja Smirnoff]

Все работает отлично, кроме правила проброса на vpn клиента. Во внутреннюю сеть кинетика проброс работает. 

[stefbarinov]

Если на микроте сделать netmap?

Изменено 17 ноября, 2021 пользователем stefbarinov

[Werld]

@Sereja Smirnoff В этой статье, на которую вы ссылаетесь просят выключить "NAT для клиентов" в настройках l2tp/ipsec сервера. Попробуйте включить эту галочку и снова проверить.

[laforsh]

Если не получится средствами роутеров, то можно реализовать так: На целевом ПК (192.168.35.120) ставим ssh клиент (если винда, то советую Bitvise ssh клиент, если Linux - штатный ssh клиент+какой-то супервизор для автовосстановления сессий).  Далее на целевом ПК создается ssh соединение с автовосстановлением на wan kееnetic или 172.16.30.1 с пробросoм порта 41111 . Результатом клиенты 192.168.36.0/24 увидят на keenetic (на любом интерфейсе и любом нужном порту) целевой ПК:41111 . Канал VPN при этой схеме можно вообще не использовать.

Вопрос только стоит на кинетике ssh сервер с нужными опциями (PubkeyAuthentication yes, AuthorizedKeysFile, TCPKeepAlive yes, возможно AllowTcpForwarding yes).

 

 

[Oleg Nekrylov]

5 часов назад, Sereja Smirnoff сказал:

Adguard отключил - не помогло 

Adguard относится только к портам 53 (DNS) и ни каким другим.

PS: Не понимаю, в чем заключена сложность? AIR: XXXX:41111->172.16.30.2:41111; Mikrotik: 172.16.30.2:41111->192.168.35.120:41111

[Oleg Nekrylov]

Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны.

А так, без conntrack не обойтись

Изменено 17 ноября, 2021 пользователем Oleg Nekrylov

[Sereja Smirnoff]

21 час назад, Oleg Nekrylov сказал:

Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны.

А так, без conntrack не обойтись

Благодарю. Так и сделал!